Článek
Mají stejně složité systémy jako banky a stejně jako ony pracují s extrémně citlivými údaji. Přesto se české nemocnice s finančními institucemi nemohou srovnávat v jejich zabezpečení a ochraně. Když totiž tým expertů z poradenské společnosti Deloitte hodnotil průměrné zabezpečení českých nemocnic, přišel s alarmujícími výsledky – že nemocnice jsou stále velmi snadným terčem.
„Průměrná česká nemocnice nesplňuje základní požadavky kybernetické bezpečnosti a ani požadavky vycházející ze zákona o kybernetické bezpečnosti,“ říká Michal Čábela, ředitel oddělení řízení kybernetických rizik Deloitte.
Kvalitně zabezpečit elektronická data v nemocnici ale stojí hodně peněz. „Jedná se o vyšší desítky milionů korun jednorázově a nižší desítky milionů na provoz průběžně,“ spočítal Michal Čábela. Samy nemocnice si ale podle jeho slov rizika uvědomují.
„Tlak na nemocnice je dostatečný, dlouhodobě jsou ale podfinancované, IT a cyber security expertům nabízejí pouze nízké tabulkové platy a investice jsou ne vždy účelně využité,“ popsal současnou situaci Michal Čábela.
Přitom na rozdíl od bank, které mají peníze na zaplacení nejlepších expertů a jde u nich „jen“ o peníze, v nemocnici může kyberútok stát lidské životy. „V evropském regionu se to v roce 2020 stalo v německém Düsseldorfu, kdy došlo k úmrtí pacienta v přímém důsledku kybernetického útoku,“ připomněl Čábela.
„Děláme všechno pro to, abychom v plzeňské fakultní nemocnici zabezpečeni byli,“ říká například její ředitel Václav Šimánek. Do kyberbezpečnostních opatření už investovali stovky milionů korun a podobná částka to bude i v příštích několika letech.
Rozhovor o kyberbezpečnosti s Václavem Šimánkem, ředitelem FN Plzeň.Video: Silvie Friedmannová, Seznam Zprávy
„Nicméně reálně hrozí, že útok chod nemocnice zastaví, protože zdravotníci pracují s velkým množstvím dat a v případě, že by nás někdo takto zablokoval, tak v podstatě nemocnice bude velmi zpomalena nebo zablokována na několik dnů nebo týdnů,“ popsal v rozhovoru pro SZ Byznys.
Takový kolaps v Plzni naštěstí nezažili, vážným útokům ale už čelila jiná zdravotnická zařízení v zemi. Velmi sledovaný byl například kolaps systémů nemocnice v Benešově. Během covidu zase hackeři zaútočili na počítačové systémy Fakultní nemocnice Brno.
„Chci říct, že hackeři budou vždycky o krok před námi. Ale když budou jen o ten krok, tak je to dobré, protože na ně uvidíme a můžeme se jim blížit. Musíme posilovat nejen IT systémy a vybavení, ale tím nejcitlivějším bodem je člověk, zaměstnanec, a my jich máme 4500,“ říká šéf FN Plzeň Václav Šimánek.
Dvě minus
Zabezpečení nemocnic hodnotil nedávno Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). U přímo řízených organizací, jakými jsou například fakultní nemocnice, zjišťovalo jejich zabezpečení Ministerstvo zdravotnictví.
„Naše přímo řízené organizace se ohodnotily v rámci autoevaluace na známku 2,67,“ uvedl pro SZ Byznys Ondřej Jakob, mluvčí Ministerstva zdravotnictví. Jinak řečeno – školním známkováním by šlo o 2 minus.
„Rozdíly mezi nemocnicemi jsou dány vždy vedením nemocnice, pracovníky na ICT (informační a komunikační technologie) útvaru a samozřejmě skutečností, zda je příslušná nemocnice regulována v rámci zákona o kybernetické bezpečnosti. Detailní rozdíly mezi soukromými a veřejnými nemocnicemi, fakultními a ostatními nesledujeme ani nevyhodnocujeme,“ doplnil Ondřej Jakob za rezort zdravotnictví.
Český zákon o kybernetické bezpečnosti musí momentálně splňovat přes 40 zařízení. Česko však čeká do roku 2024 přijetí evropské směrnice označované zkratkou NIS2. Ta má zajistit stejně vysokou úroveň zabezpečení proti útokům hackerů ve všech zemích EU.
Co je NIS2
Jedná se o evropskou směrnici, která má zajistit vyšší kybernetickou bezpečnost evropského prostoru.
Týká se jak organizací, které již dnes musejí ze zákona o kybernetické bezpečnosti své systémy zabezpečovat, tak i řady dalších institucí, jež budou do regulace nově spadat a do dnešního dne žádné povinnosti plnit nemusely.
Součástí české legislativy by měla být do roku 2024. Týkat se bude 6 tisíců institucí (nyní jich je pouze 400).
Zdroj: NÚKIB
„Žádnému z regulovaných sektorů se z naší strany nedostávalo v poslední době takové pozornosti jako zdravotnictví. Stejná pozornost ovšem přicházela také ze strany hackerů, hacktivistů a kyberkriminálníků,“ prohlásil v polovině prosince Lukáš Kintr, ředitel NÚKIB.
Slova padla příznačně na cvičení Health Czech na brněnském výstavišti, kde 15 týmů z různých nemocnic cvičilo právě situace, které po kyberútoku mohou nastat, včetně krizového řízení a ochrany dat i zdraví pacientů.
Stále totiž platí, že většina kybernetických útoků je zapříčiněna lidskou chybou. „NÚKIB věnuje v poslední době sektoru zdravotnictví velkou pozornost a snažíme se zdravotnickým zařízením být co nejvíce nápomocni. Vydáváme metodiky, doporučení i varování. Vytvořili jsme také různé osvětové materiály a kurzy, které jsou šité na míru zdravotníkům,“ doplnil mluvčí úřadu Marek Vala.
